태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2009.07.25 14:43


네이트온 쪽지로 유포되고 있는 악성코드입니다.

실행되면 다음과 같은 여성 사진이 실행됩니다.


이번에는 윈도우 취약점을 이용했네요.

사용자 삽입 이미지

Secret3421_JPG 에는 JScript.Encode 가 되어 있으며, 또 다른 악성코드가 설치됩니다.

Secret3421.scr 파일은 nProtect 제품으로 진단/치료가 가능합니다.

http://www.virustotal.com/ko/analisis/1e1325e261d12493db8605238c45b0625d20952c5341c46fa4fad6616cbf6897-1248498760

nProtect 2009.1.8.0 2009.07.25 Trojan/W32.Agent.1392640.H

YouTube 동영상 링크처럼 위장하고 있으며, 실제로 다른 정상 동영상 링크로 연결시켜 줍니다.


Secret3421_JPG 는 자바스크립트 파일이며, 암호화되어 있습니다.


복호화하면 다음과 같이 실제 YouTube 동영상으로 연결하여 마치 정상적인 것처럼 속이게 됩니다.

https://www.youtube.com/watch?v=fyfyhKga-6Y

그리고 또 다른 자바스크립트를 이용해서 악성코드 설치를 시도합니다.

MS06-014 와 MS09-002 Exploit Code 를 이용해서 악성코드가 설치됩니다.

또한, 감염될 때 시스템의 일부 파일을 코드에 추가시키는 것이 일부 확인되었습니다.

아래 화면은 원숙주 파일에 정상 smss.exe 가 후위에 추가된 것을 볼 수 있습니다.

이렇게 하면 트로이목마가 감염될 때 마다 정상파일을 포함하게 되므로, 파일 구조가 변경이 되어 Anti-Virus 우회용으로 사용이 가능합니다.

더불어 Anti-VM 기능을 통해서 분석도 방해합니다.




Posted by viruslab